JP7341784B2 - ストレージ装置 - Google Patents

ストレージ装置 Download PDF

Info

Publication number
JP7341784B2
JP7341784B2 JP2019147505A JP2019147505A JP7341784B2 JP 7341784 B2 JP7341784 B2 JP 7341784B2 JP 2019147505 A JP2019147505 A JP 2019147505A JP 2019147505 A JP2019147505 A JP 2019147505A JP 7341784 B2 JP7341784 B2 JP 7341784B2
Authority
JP
Japan
Prior art keywords
firmware
normal operation
recovery
storage device
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019147505A
Other languages
English (en)
Other versions
JP2021028763A (ja
Inventor
隼平 二木
健太郎 梅澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kioxia Corp
Original Assignee
Kioxia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kioxia Corp filed Critical Kioxia Corp
Priority to JP2019147505A priority Critical patent/JP7341784B2/ja
Priority to TW108147170A priority patent/TWI736075B/zh
Priority to CN202010062994.5A priority patent/CN112347518A/zh
Priority to US16/804,053 priority patent/US11455115B2/en
Publication of JP2021028763A publication Critical patent/JP2021028763A/ja
Application granted granted Critical
Publication of JP7341784B2 publication Critical patent/JP7341784B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/065Replication mechanisms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1417Boot up procedures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1441Resetting or repowering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1451Management of the data involved in backup or backup restore by selection of backup contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • G06F11/1469Backup restoration techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0604Improving or facilitating administration, e.g. storage management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0614Improving the reliability of storage systems
    • G06F3/0619Improving the reliability of storage systems in relation to data integrity, e.g. data losses, bit errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0658Controller construction arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/82Solving problems relating to consistency
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Stored Programmes (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)

Description

本発明の実施形態は、ストレージ装置に関する。
近年、HDD(Hard Disk Drive)やSSD(Solid State Drive)などといった様々なストレージ装置が広く普及している。この種のストレージ装置は、データの書き込みやデータの読み出しなどの処理を、ファームウェアなどと称されるプログラムで示される手順で実行する。従って、ファームウェアが改ざんされると、ストレージ装置は、不正な動作を行ってしまう。また、ストレージ装置の動作に影響を及ぼすデータが改ざんされた場合も同様である。そのため、ファームウェアを含むプログラムやデータの信頼性を検証するセキュリティ機能を搭載するストレージ装置が登場するに至っている。起動時などにファームウェアの信頼性を検証するセキュリティ機能は、セキュアブート機能などと称されている。
米国特許第8490189号明細書 特開2015-55898号公報 米国特許出願公開第2018/0157839号明細書
セキュアブート機能を搭載するストレージ装置において、ファームウェアが改ざんされてしまった場合、そのセキュアブート機能によって、ストレージ装置の起動が抑止されることになる。したがって、ストレージ装置を復旧するためには、製造元などへストレージ装置を預けて復旧を依頼する必要があった。
改ざんされたファームウェアを、ファームウェアを復旧するためのリカバリー用ファームウェアに書き換えることでストレージ装置を復旧する機能が、ストレージ装置自体に搭載されているならば、製造元などへストレージ装置を預けて復旧を依頼することを不要にできる。しかしながら、リカバリー用ファームウェアも同様に改ざんされてしまった場合には、ユーザの手元でストレージ装置を復旧することは、もはや不可能となってしまう。
本発明が解決しようとする課題は、ファームウェアについて高いレベルで信頼性が担保されたリカバリーを可能とするストレージ装置を提供することである。
実施形態によれば、ストレージ装置は、不揮発性メモリと、コントローラと、を具備する。前記コントローラは、ホストからのコマンドに基づき、前記不揮発性メモリへのデータの書き込みおよび前記不揮発性メモリからのデータの読み出しを制御する。前記コントローラは、少なくとも1つのプロセッサを含む。前記不揮発性メモリは、前記コマンドに基づくデータの書き込みおよび読み出しの制御を前記少なくとも1つのプロセッサが行うための通常動作用ファームウェアと、前記通常動作用ファームウェアを復旧するためのリカバリー用ファームウェアとを格納する。前記通常動作用ファームウェアおよび前記リカバリー用ファームウェアは暗号化されている。前記リカバリー用ファームウェアは、前記通常動作用ファームウェアよりも暗号強度の高いアルゴリズムまたは鍵長の大きな暗号鍵を用いて暗号化されて、前記不揮発性メモリに格納されている。
第1実施形態のストレージ装置の一構成例を示す図。 第1実施形態のストレージ装置のファームウェアのリカバリーに関する機能ブロックを示す図。 第1実施形態のストレージ装置のファームウェアのリカバリーに関する動作手順を示すフローチャート。 第2実施形態のストレージ装置のファームウェアのリカバリーに関する機能ブロックを示す図。 第3実施形態のストレージ装置の一構成例を示す図。 第3実施形態のストレージ装置のファームウェアのリカバリーに関する機能ブロックを示す図。 第4実施形態のストレージ装置のファームウェアのリカバリーに関する機能ブロックを示す図。
以下、実施の形態について、図面を参照して説明する。
(第1実施形態)
まず、第1実施形態について説明する。
図1は、本実施形態のストレージ装置1の一構成例を示す図である。
ストレージ装置1は、PCIe(登録商標)などのインタフェースを介して接続されるホスト2からコマンドを受信し、そのコマンドに対応する処理を実行して、その処理結果をホスト2へ送信する。ストレージ装置1が受信するコマンドには、データの書き込みを要求するライトコマンドや、データの読み出しを要求するリードコマンドなどが存在する。また、ストレージ装置1は、記憶領域上に区画を設けるためのコマンドなどといった様々な制御コマンドを受信し得る。
ストレージ装置1は、たとえばSoC(System On a Chip)として構成されるコントローラ10と、たとえばDRAMである揮発性メモリ20と、たとえばフラッシュメモリである不揮発性メモリ30とを有する。
コントローラ10は、揮発性メモリ20をデータの一時的な格納領域として利用しながら、不揮発性メモリ30へのデータの書き込み処理および不揮発性メモリ30からのデータの読み出し処理を実行する。つまり、コントローラ10は、ホスト2からのコマンドに基づき、不揮発性メモリ30を制御する。コントローラ10は、Security CPU11を含む複数のCPU(11,12-1,12-2)を有する。
Security CPU11に内蔵されるメモリに格納されている情報へのアクセス手段は限られており、その情報の信頼性が保証される。従って、Security CPU11は一般的なCPUと比較してセキュリティ強度の高いCPUである。ここでは、コントローラ10が、このSecurity CPU11のほか、2つの一般的なCPU(CPU-A12-1,CPU-B12-2)を有していることを想定する。信頼性を保証することは、デジタル署名での検証によってプログラムの発行者を保証することを含む。なお、信頼性の保証には、完全性の保証が含まれる。つまり、信頼性を検証することには、完全性を検証することが含まれる。コントローラ10は、CPU-A12-1とCPU-B12-2とが協働して、不揮発性メモリ30へのデータの書き込み処理や不揮発性メモリ30からのデータの読み出し処理を実行する。あるいは、CPU-A12-1とCPU-B12-2とが、各々、不揮発性メモリ30へのデータの書き込み処理や不揮発性メモリ30からのデータの読み出し処理を実行する。以下、一般的なCPUであるCPU-A12-1とCPU-B12-2とを、CPU12と総称することがある。
Security CPU11、CPU-A12-1およびCPU-B12-2は、不揮発性メモリ30に格納されている各々のファームウェア(後述する通常動作用Security CPU FW31,通常動作用CPU-A FW32-1,通常動作用CPU-B FW32-2)によって示される手順で処理を実行していく。具体的には、Security CPU11、CPU-A12-1およびCPU-B12-2は、各々のファームウェアを不揮発性メモリ30から揮発性メモリ20へたとえばモジュール単位で適宜にロードして実行する。Security CPU11内には、各々のファームウェアの信頼性を検証するためのセキュリティ保証データが格納されている。Security CPU11は、たとえばストレージ装置1の起動時、このセキュリティ保証データを用いて、各々のファームウェアの信頼性を検証する。つまり、本ストレージ装置1は、セキュアブート機能を有している。Security CPU11内に格納されるセキュリティ保証データは、Security CPU11からでしかアクセスできず、セキュリティ保証データを改ざんするためには、Security CPU11を不正に動作させなければならないので、まず、Security CPU11のファームウェアを改ざんする必要がある。しかし、Security CPU11のファームウェアの改ざんは、たとえばストレージ装置1の起動時における信頼性の検証によって検知される。従って、Security CPU11内のセキュリティ保証データは、その信頼性が保証されるので、信頼性の起点(Root of Trust)として扱うことができる。セキュリティ保証データとしては、特定の情報に限定されず、検証鍵やMAC値などといった様々な情報を適用し得る。
以上のような構成を持つ本ストレージ装置1は、改ざんされたファームウェアをリカバリーする機能を有する。図2は、本ストレージ装置1のファームウェアのリカバリーに関する機能ブロックを示す図である。
Security CPU11は、検知部111と、リカバリー判定部112と、リカバリー実行部113とを有する。これらの各部は、Security CPU11のみがアクセス可能であり、かつ、読み出しのみが可能であるメモリに格納されている等により、その信頼性が高いレベルで担保されているプログラムを当該Security CPU11が実行することによって実現される。あるいは、このプログラム自体が、セキュリティ保証データ114の1つとして、Security CPU11内に格納されていてもよい。
また、不揮発性メモリ30は、第1に、Security CPU11のためのファームウェアである通常動作用Security CPU FW31と、CPU-A12-1のためのファームウェアである通常動作用CPU-A FW32-1と、CPU-B12-2のためのファームウェアである通常動作用CPU-B FW32-2とを格納している。また、不揮発性メモリ30は、第2に、通常動作用Security CPU FW31を復旧するためのファームウェアであるリカバリー用Security CPU FW33と、通常動作用CPU-A FW32-1を復旧するためのファームウェアであるリカバリー用CPU-A FW34-1と、通常動作用CPU-B FW32-2を復旧するためのファームウェアであるリカバリー用CPU-B FW34-2とを格納している。
前者の通常動作用Security CPU FW31、通常動作用CPU-A FW32-1および通常動作用CPU-B FW32-2と、後者のリカバリー用Security CPU FW33、リカバリー用CPU-A FW34-1およびリカバリー用CPU-B FW34-2とのうち、少なくとも後者のリカバリー用Security CPU FW33、リカバリー用CPU-A FW34-1およびリカバリー用CPU-B FW34-2は、暗号化された状態で不揮発性メモリ30に格納されている。つまり、本ストレージ装置1は、プログラムやデータを暗号化し、また、暗号化されているプログラムやデータを復号する暗号化機能のうちの少なくとも復号に関する機能を有している。また、詳細については後述するが、後者のリカバリー用Security CPU FW33、リカバリー用CPU-A FW34-1およびリカバリー用CPU-B FW34-2は、前者の通常動作用Security CPU FW31、通常動作用CPU-A FW32-1および通常動作用CPU-B FW32-2と比較して、暗号強度の高いアルゴリズムまたは鍵長の大きな暗号鍵を用いて暗号化されている。つまり、高い信頼性が担保された状態で不揮発性メモリ30に格納されている。通常動作用ファームウェア(31,32-1,32-2)およびリカバリー用ファームウェア(33,34-1,34-2)は、さらに、本ストレージ装置1が圧縮されたプログラムやデータを伸長する機能を有しているならば、圧縮された状態で不揮発性メモリ30に格納されていてもよい。
検知部111は、ストレージ装置1の動作中における通常動作用ファームウェアの改ざんを検知するためのモジュールであり、ストレージ装置1の異常動作、より詳しくは、Security CPU11、CPU-A12-1またはCPU-B12-2の異常動作を検知する。なお、ストレージ装置1の停止中における通常動作用ファームウェアの改ざんは、ストレージ装置1の起動時において前述のセキュアブート機能によって検知される。異常動作を検知する方法については、特定の方法に限定されず、既知の様々な方法を適用し得る。
リカバリー判定部112は、ストレージ装置1の異常動作が検知された場合、当該ストレージ装置1を通常動作用ファームウェアのリカバリーによって回復させることが可能か否かを判定する。この判定は、たとえば、検出された異常動作がハードウェア障害を原因とするものか否かを調べ、ハードウェア障害を原因とするものでない場合、通常動作用ファームウェアのリカバリーによって回復させることが可能と判定するといったものであってもよい。また、Security CPU11内に格納されているセキュリティ保証データを用いて通常動作用Security CPU FW31、通常動作用CPU-A FW32-1および通常動作用CPU-B FW32-2の信頼性を検証し、改ざんが検出された場合、通常動作用ファームウェアのリカバリーによって回復させることが可能と判定するといったものであってもよい。
リカバリー実行部113は、異常動作が検知されたストレージ装置1を、通常動作用ファームウェアのリカバリーによって回復させることが可能と判定された場合、通常動作用ファームウェアのリカバリーを実行する。たとえば、CPU-A12-1の異常動作が検知部111によって検知された場合であって、通常動作用CPU-A FW32-1のリカバリーによって当該CPU-A12-1を回復させることが可能とリカバリー判定部112によって判定された場合、リカバリー実行部113は、通常動作用CPU-A FW32-1をリカバリー用CPU-A FW34-1に書き換えて、ストレージ装置1を再起動する処理を実行する。なお、通常動作用ファームウェアのリカバリーによって回復させることが不可能と判定された場合には、リカバリー判定部112によって、ホスト2へのエラーの通知が行われる。ホスト2へエラーを通知した場合、リカバリー判定部112は、ストレージ装置1を停止させるようにしてもよい。
また、リカバリー実行部113は、ストレージ装置1の起動時、前述のセキュアブート機能によって、たとえば、通常動作用CPU-A FW32-1の改ざんが検出された場合も、通常動作用CPU-A FW32-1をリカバリー用CPU-A FW34-1に書き換えて、ストレージ装置1を再起動する処理を実行する。
なお、リカバリー用ファームウェア(33,34-1,34-2)は、いわゆるバックアップとして通常動作用ファームウェア(31,32-1,32-2)と同じものが用意されてもよいし、ホスト2から正規の通常動作用ファームウェアを取得する等の通常動作用ファームウェアを復旧するための必要最小限の機能を備えるものであってもよい。ファームウェアを復旧するとは、たとえば改ざんされたファームウェアを正規のファームウェアに書き換えて改ざん前の状態に戻すことである。
ところで、たとえば、改ざんされた通常動作用CPU-A FW32-1をリカバリー用CPU-A FW34-1によって復旧しようとしても、リカバリー用CPU-A FW34-1も同様に改ざんされてしまっている場合、ストレージ装置1の再起動時に作動するセキュアブート機能によって、ストレージ装置1の起動が抑止される。つまり、本ストレージ装置1でのリカバリーはもはや不可能であり、製造元などへストレージ装置を預けて復旧を依頼しなければならない。
そこで、本ストレージ装置1は、リカバリー用ファームウェア(33,34-1,34-2)について、通常動作用ファームウェア(31,32-1,32-2)と比較して、高い信頼性が担保された状態で不揮発性メモリ30に格納する。また、本ストレージ装置1は、通常動作用ファームウェアをリカバリー用ファームウェアに書き換えるにあたり、Security CPU11内に格納されているセキュリティ保証データ114を用いて、リカバリー用ファームウェアの信頼性を検証する。
リカバリー用ファームウェアを通常動作用ファームウェアと比較して高い信頼性が担保された状態で不揮発性メモリ30に格納することについては、前述したように、暗号強度の高いアルゴリズムまたは鍵長の大きな暗号鍵を用いて暗号化することによって実現する。たとえば共通鍵暗号方式で暗号化が行われる場合、復号のための共通鍵(暗号鍵)がセキュリティ保証データ114としてSecurity CPU11内に格納される。本ストレージ装置1の暗号化機能を司るモジュールは、セキュリティ保証データ114としてSecurity CPU11内に格納されている暗号鍵を示す情報をパラメータとして受け取り、その情報で示される暗号鍵を用いて、指示されたプログラムまたはデータの復号を実行する。また、暗号化機能を司るモジュールが複数のアルゴリズムに対応する場合、アルゴリズムの指定もパラメータによって受け付ける。
リカバリー実行部113は、たとえば、通常動作用ファームウェア32-1をリカバリー用ファームウェア34-1に書き換える場合、まず、リカバリー用ファームウェア34-1の不揮発性メモリ30からの読み出しを実行する(図2:a1)。前述したように、リカバリー用ファームウェア34-1は、暗号化されて不揮発性メモリ30に格納されている。リカバリー実行部113は、暗号化機能を司るモジュールに対して、不揮発性メモリ30から読み出されるリカバリー用ファームウェア34-1の復号を指示する。リカバリー実行部113は、復号後のリカバリー用ファームウェア34-1を揮発性メモリ20へ格納する(図2:a2)。なお、リカバリー実行部113は、暗号化されているリカバリー用ファームウェア34-1を揮発性メモリ20へ格納した後、暗号化機能を司るモジュールに対して、その復号を指示するようにしてもよい。図2において示される揮発性メモリ20上のリカバリー用ファームウェアは、復号後のリカバリー用ファームウェアである。
次に、リカバリー実行部113は、Security CPU11内に格納されているセキュリティ保証データ114を用いて、揮発性メモリ20に格納したリカバリー用ファームウェア34-1の信頼性を検証する(図2:a3)。検証が成功した場合、リカバリー実行部113は、不揮発性メモリ30上の通常動作用ファームウェア32-1をリカバリー用ファームウェア34-1に更新し(図2:a4)、ストレージ装置1を再起動する。検証が失敗した場合には、リカバリー実行部113は、ホスト2へエラーを通知する。ホスト2へエラーを通知した場合、リカバリー実行部113は、ストレージ装置1を停止させるようにしてもよい。
なお、リカバリー実行部113は、暗号化されている状態のリカバリー用ファームウェアについて、Security CPU11内に格納されているセキュリティ保証データ114を用いた信頼性の検証を実行し、検証が成功した場合に、暗号化機能を司るモジュールに対して、その復号を指示するようにしてもよい。
リカバリー用ファームウェアを通常動作用ファームウェアよりも高い信頼性が担保された状態で不揮発性メモリ30に格納することで、本ストレージ装置1は、製造元などへストレージ装置を預けてファームウェアの復旧を依頼するといった復旧作業のためのコストを削減することができ、よって、可用性を向上させることができる。
リカバリー用ファームウェアが、ホスト2から正規の通常動作用ファームウェアを取得する等の、通常動作用ファームウェアを復旧するための必要最小限の機能を備えるものであった場合、リカバリー実行部113によって再起動されたストレージ装置1は、たとえば以下のような手順で動作する。
まず、ストレージ装置1は、セキュアブート機能によって、リカバリー用ファームウェアの信頼性を検証する。リカバリー用ファームウェアは、高い信頼性が担保された状態で不揮発性メモリ30に格納されているので、この検証は成功し、ストレージ装置1は、リカバリー用ファームウェアで示される手順に沿った動作を開始する。
ストレージ装置1は、通常動作用ファームウェアをホスト2から取得する。たとえば、ストレージ装置1とホスト2とを接続するインタフェースが、ホスト2側のメモリにストレージ装置1側からアクセスすることをサポートしているならば、ホスト2側のメモリから通常動作用ファームウェアを読み出すことによって取得してもよい。あるいは、ホスト2に対して、通常動作用ファームウェアの転送を要求するコマンドを送信することによって取得してもよい。または、ストレージ装置1は、ファームウェアの更新が必要であることを示すメッセージなどをホスト2へ送信するだけでもよく、以降、ホスト2主導の下、通常動作用ファームウェアの更新を行ってもよい。
ストレージ装置1は、リカバリー用ファームウェアに書き換えられている状態の不揮発性メモリ30上のファームウェアを、ホスト2から取得した通常動作用ファームウェアに再び書き換える。この書き換え後、ストレージ装置1は再起動する。
なお、通常動作用ファームウェアをホスト2から取得する際、この通常動作用ファームウェアの信頼性を検証するための情報や、暗号化を解くための暗号鍵を共に取得し、セキュリティ保証データとして改めてSecurity CPU11内に格納するようにしてもよい。
図3は、本実施形態のストレージ装置1のファームウェアのリカバリーに関する動作手順を示すフローチャートである。
検知部111は、ストレージ装置1(Security CPU11、CPU-A12-1またはCPU-B12-2)の異常動作を検知する(S11)。異常動作が検知された場合(S11:YES)、リカバリー判定部112は、異常動作の原因を判定する(S12)。たとえば、その異常動作がハードウェア障害を原因とするものか否かを判定する。リカバリー判定部112は、異常動作の原因の判定結果に基づき、ファームウェア(通常動作用Security CPU FW31、CPU-A12-1またはCPU-B12-2)の更新による復旧は可能か否かを判定する(S13)。
ファームウェアの更新による復旧は可能と判定された場合(S13:YES)、リカバリー実行部113は、リカバリー用ファームウェア(リカバリー用Security CPU FW33、リカバリー用CPU-A FW34-1またはリカバリー用CPU-B FW34-2)を不揮発性メモリ30から読み出し、揮発性メモリ20に格納する(S14)。リカバリー実行部113は、Security CPU11内に格納されているセキュリティ保証データを用いて、リカバリー用ファームウェアの信頼性を検証する(S15)。
検証が成功した場合(S16:YES)、リカバリー実行部113は、不揮発性メモリ30上の通常動作用ファームウェアをリカバリー用ファームウェアに更新し(S17)、ストレージ装置1を再起動する(S18)。
一方、リカバリー判定部112によって、異常動作が検知されたストレージ装置1をファームウェアのリカバリーによって回復させることは不可能と判定された場合(S13:NO)、または、リカバリー実行部113によるリカバリー用ファームウェアの信頼性の検証が失敗した場合(S16:NO)、リカバリー判定部112またはリカバリー実行部113からホスト2に対してエラーが通知される(S19)。
以上のように、リカバリー用ファームウェアを通常動作用ファームウェアよりも高い信頼性が担保された状態で不揮発性メモリ30に格納する本ストレージ装置1は、ファームウェアについて高いレベルで信頼性が担保されたリカバリーを可能とする。
(第2実施形態)
次に、第2実施形態について説明する。
図4は、本実施形態のストレージ装置1のファームウェアのリカバリーに関する機能ブロックを示す図である。本実施形態のストレージ装置1も、第1実施形態と同様、コントローラ10、揮発性メモリ20および不揮発性メモリ30を有する。ここでは、第1実施形態と同一の構成要素については同一の符号を用い、それらについての重複する説明を省略する。
本実施形態のストレージ装置1においては、不揮発性メモリ30上に、アクセス権限がSecurity CPU11に限定される区画が設定され、この区画にリカバリー用ファームウェア(33,34-1,34-2)が格納される。ここで、アクセス権限がSecurity CPU11に限定されるとは、Security CPU11のみがアクセス可能またはSecurity CPU11からの指示でのみアクセス可能であることを意味する。Security CPU11からの指示でのみアクセス可能とは、たとえば、CPU-A12-1やCPU-B12-2は、Security CPU11の制御下においてのみアクセス可能であることを意味する。
アクセス権限がSecurity CPU11に限定される区画の設定は、たとえばストレージ装置1の製造過程で行われ、かつ、その区画は、制御コマンドを含む外部からのコマンドの対象となり得ない区画として設けられる。
ここでは、アクセス権限がSecurity CPU11に限定される区画内の領域を高セキュリティ領域30Aと称し、不揮発性メモリ30上の当該区画以外の領域を通常領域30Bと称する。たとえば、CPU-A12-1のための通常動作用CPU-A FW32-1は、CPU-A12-1がアクセス可能な通常領域30Bに格納される。つまり、通常動作用ファームウェア(31,32-1,32-2)は、通常領域30Bに格納される。
このように、本実施形態のストレージ装置1は、アクセス権限がSecurity CPU11に限定される区画内の領域である高セキュリティ領域30Aにリカバリー用ファームウェアを格納することで、通常動作用ファームウェアと比較して高い信頼性が担保された状態で不揮発性メモリ30に格納することを実現する。
なお、本実施形態のストレージ装置1においても、リカバリー用ファームウェアを高セキュリティ領域30Aに格納するにあたり、さらに、通常動作用ファームウェアを通常領域30Bに格納する場合と比較して、暗号強度の高いアルゴリズムまたは鍵長の大きな暗号鍵を用いて暗号化するようにしてもよい。
本実施形態のストレージ装置1におけるリカバリー実行部113は、たとえば、通常動作用ファームウェア32-1をリカバリー用ファームウェア34-1に書き換える場合、そのリカバリー用ファームウェア34-1を、不揮発性メモリ30の高セキュリティ領域30Aから読み出す(図4:b1)。以降、リカバリー実行部113は、第1実施形態と同様の手順で処理を実行する。つまり、リカバリー実行部113は、読み出されたリカバリー用ファームウェア34-1を揮発性メモリ20へ格納し(図4:b2)、Security CPU11内に格納されているセキュリティ保証データ114を用いて、揮発性メモリ20に格納したリカバリー用ファームウェア34-1の信頼性を検証する(図4:b3)。
検証が成功した場合、リカバリー実行部113は、不揮発性メモリ30上の通常動作用ファームウェア32-1をリカバリー用ファームウェア34-1に更新し(図4:b4)、本ストレージ装置1を再起動する。検証が失敗した場合には、リカバリー実行部113は、ホスト2へエラーを通知する。ホスト2へエラーを通知した場合、リカバリー実行部113は、ストレージ装置1を停止させるようにしてもよい。
以上のように、アクセス権限がSecurity CPU11に限定される区画内の領域である高セキュリティ領域30Aにリカバリー用ファームウェアを格納することで、通常動作用ファームウェアと比較して高い信頼性が担保された状態で不揮発性メモリ30に格納する本実施形態のストレージ装置1においても、第1実施形態と同様、たとえば製造元などへストレージ装置を預けてファームウェアの復旧を依頼するといった復旧作業のためのコストを削減することができ、よって、可用性を向上させることができる。
つまり、本ストレージ装置1も、ファームウェアについて高いレベルで信頼性が担保されたリカバリーを可能とする。
(第3実施形態)
次に、第3実施形態について説明する。
図5は、本実施形態のストレージ装置1の一構成例を示す図である。
本実施形態のストレージ装置1は、第1実施形態や第2実施形態と比較して、マスクROMなどである読み出し専用メモリ40をさらに有する。また、この読み出し専用メモリ40は、そのアクセス権限が、Security CPU11に限定されている。ここで、アクセス権限がSecurity CPU11に限定されるとは、Security CPU11のみがアクセス可能またはSecurity CPU11からの指示でのみアクセス可能であることを意味する。Security CPU11からの指示でのみアクセス可能とは、たとえば、CPU-A12-1やCPU-B12-2は、Security CPU11の制御下においてのみアクセス可能であることを意味する。なお、ここでも、第1実施形態や第2実施形態と同一の構成要素については同一の符号を用い、それらについての重複する説明を省略する。
図6は、本実施形態のストレージ装置1のファームウェアのリカバリーに関する機能ブロックを示す図である。
本実施形態のストレージ装置1においては、アクセス権限がSecurity CPU11に限定される読み出し専用メモリ40に、リカバリー用ファームウェア(33,34-1,34-2)を格納する。つまり、本実施形態のストレージ装置1は、アクセス権限がSecurity CPU11に限定される読み出し専用メモリ40をリカバリー用ファームウェアの格納場所とすることで、リカバリー用ファームウェアを、通常動作用ファームウェアと比較して高い信頼性が担保された状態で格納することを実現する。
なお、第1実施形態や第2実施形態のように、リカバリー用ファームウェアを大容量の不揮発性メモリ30に格納する場合には、第1実施形態の説明で述べたように、当該リカバリー用ファームウェアは、いわゆるバックアップとして通常動作用ファームウェアと同じものが用意されてもよいし、ホスト2から正規の通常動作用ファームウェアを取得する等の、通常動作用ファームウェアを復旧するための必要最小限の機能を備えるものであってもよい。一方、リカバリー用ファームウェアを高い信頼性が担保された状態で格納することを目的として、読み出し専用メモリ40を新設する場合には、コストを抑えるために、当該読み出し専用メモリ40の容量を極力小さくすることが求められる。たとえば500Kバイト程度に収めることが好ましい。この点を考慮して、本実施形態のストレージ装置1においては、リカバリー用ファームウェアを、ホスト2から正規の通常動作用ファームウェアを取得する等の、通常動作用ファームウェアを復旧するための必要最小限の機能を備えるものとする。つまり、読み出し専用メモリ40の容量は、通常動作用ファームウェアを格納するために必要な容量よりも格段に小さい容量でよい。
本実施形態のストレージ装置1におけるリカバリー実行部113は、たとえば、通常動作用ファームウェア32-1をリカバリー用ファームウェア34-1に書き換える場合、そのリカバリー用ファームウェア34-1を、アクセス権限がSecurity CPU11に限定される読み出し専用メモリ40から読み出す(図6:c1)。以降、リカバリー実行部113は、第1実施形態や第2実施形態と同様の手順で処理を実行する。つまり、リカバリー実行部113は、読み出されたリカバリー用ファームウェア34-1を揮発性メモリ20へ格納し(図6:c2)、Security CPU11内に格納されているセキュリティ保証データ114を用いて、揮発性メモリ20に格納したリカバリー用ファームウェア34-1の信頼性を検証する(図6:c3)。
検証が成功した場合、リカバリー実行部113は、不揮発性メモリ30上の通常動作用ファームウェア32-1をリカバリー用ファームウェア34-1に更新し(図6:c4)、本ストレージ装置1を再起動する。検証が失敗した場合には、リカバリー実行部113は、ホスト2へエラーを通知する。ホスト2へエラーを通知した場合、リカバリー実行部113は、ストレージ装置1を停止させるようにしてもよい。
本実施形態のストレージ装置1においては、前述したように、リカバリー用ファームウェアが、ホスト2から正規の通常動作用ファームウェアを取得する等の、通常動作用ファームウェアを復旧するための必要最小限の機能を備えるものであることを想定している。そのため、リカバリー用ファームウェア34-1の信頼性の検証が成功し、通常動作用ファームウェア32-1がリカバリー用ファームウェア34-1に書き換えられて再起動されたストレージ装置1は、第1実施形態の説明でも述べたように、たとえば以下のような手順で動作する。
まず、ストレージ装置1は、セキュアブート機能によって、リカバリー用ファームウェアの信頼性を検証する。アクセス権限がSecurity CPU11に限定される読み出し専用メモリ40から読み出されたリカバリー用ファームウェアの検証は成功し、ストレージ装置1は、リカバリー用ファームウェアで示される手順に沿った動作を開始する。
ストレージ装置1は、通常動作用ファームウェアをホスト2から取得し、リカバリー用ファームウェアに書き換えられている状態の不揮発性メモリ30上のファームウェアを、ホスト2から取得した通常動作用ファームウェアに再び書き換える。この書き換え後、ストレージ装置1は、再起動する。
以上のように、アクセス権限がSecurity CPU11に限定される読み出し専用メモリ40をリカバリー用ファームウェアの格納場所とすることで、リカバリー用ファームウェアを、通常動作用ファームウェアと比較して高い信頼性が担保された状態で格納する本実施形態のストレージ装置1においても、第1実施形態や第2実施形態と同様、製造元などへストレージ装置を預けてファームウェアの復旧を依頼するといった復旧作業のためのコストを削減することができ、よって、可用性を向上させることができる。
つまり、本ストレージ装置1も、ファームウェアについて高いレベルで信頼性が担保されたリカバリーを可能とする。
ところで、以上では、リカバリー用ファームウェアを格納する記憶素子として、アクセス権限がSecurity CPU11に限定される、マスクROMなどである読み出し専用メモリ40をさらに有する例を説明した。つまり、書き換え不可の記憶素子を格納場所とすることで、リカバリー用ファームウェアを、不揮発性メモリ30に格納する通常動作用ファームウェアと比較して高い信頼性が担保された状態で格納することを実現する例について説明した。この一変形例として、読み出し専用メモリ40に代えて、NOR型フラッシュメモリなどの書き込みも可能な記憶素子を適用する例を説明する。
当該一変形例においては、リカバリー用ファームウェアを格納する記憶素子として、NOR型フラッシュメモリがコントローラ10に外付けされているものと想定する。また、このNOR型フラッシュメモリのアクセス権限は、Security CPU11に限定されている。そして、書き込みが可能なNOR型フラッシュメモリをリカバリー用ファームウェアの格納場所とする当該一変形例においては、NOR型フラッシュメモリに格納されているリカバリー用ファームウェアの信頼性を検証するための検証データを、たとえば、電気的に素子特性を不可逆的に変更させることによってデータを記憶するフューズ素子(eFuse)に格納する。eFuseは、コントローラ10内に設けられてもよいし、コントローラ10の外部に設けられてもよい。検証データは、たとえばハッシュ値である。
リカバリー実行部113は、NOR型フラッシュメモリからリカバリー用ファームウェアを読み出し、不揮発性メモリ30上の通常動作用ファームウェアを当該読み出したリカバリー用ファームウェアに書き換えるにあたり、eFuseに記録されている検証データを用いて当該読み出したリカバリー用ファームウェアの信頼性を検証する。リカバリー実行部113は、この検証が成功した場合、不揮発性メモリ30上の通常動作用ファームウェアをリカバリー用ファームウェアに書き換える。このように、当該一変形例においても、リカバリー用ファームウェアを、通常動作用ファームウェアと比較して高い信頼性が担保された状態で格納することが実現される。
当該一変形例においては、マスクROMなどである読み出し専用メモリ40の場合と比較して、ストレージ装置1の製造時において、NOR型フラッシュメモリへ格納するリカバリー用ファームウェアを変更することができるという効果を奏する。また、リカバリー用ファームウェアの信頼性を検証するための検証データがeFuseによって記録されるので、NOR型フラッシュメモリ自体の差し替えに対応することができる。あるいは、マスクROMなどである読み出し専用メモリ40にリカバリー用ファームウェアを格納する場合において、さらに、当該リカバリー用ファームウェアの信頼性を検証するための検証データをeFuseに記録するようにしてもよい。
また、本実施形態においては、リカバリー用ファームウェアが、ホスト2から正規の通常動作用ファームウェアを取得する等の、通常動作用ファームウェアを復旧するための必要最小限の機能を備えるものと想定し、不揮発性メモリ30上の通常動作用ファームウェアをリカバリー用ファームウェアに書き換えて、ストレージ装置1を再起動することとしている。リカバリー用ファームウェアが、ホスト2から正規の通常動作用ファームウェアを取得する等の、通常動作用ファームウェアを復旧するための必要最小限の機能を備えるものである場合、不揮発性メモリ30上の通常動作用ファームウェアをリカバリー用ファームウェアに書き換えることに代えて、揮発性メモリ20に格納された後、セキュリティ保証データ114を用いた信頼性の検証が成功したリカバリー用ファームウェアが、正規の通常動作用ファームウェアをホスト2から取得し、改ざんされている不揮発性メモリ30上の通常動作用ファームウェアを、ホスト2から取得した正規の通常動作用ファームウェアに書き換えるようにしてもよい。この場合、ストレージ装置1の再起動が1回で済むことになる。
(第4実施形態)
次に、第4実施形態について説明する。
図7は、本実施形態のストレージ装置1のファームウェアのリカバリーに関する機能ブロックを示す図である。本実施形態のストレージ装置1も、第1実施形態から第3実施形態と同様、コントローラ10、揮発性メモリ20および不揮発性メモリ30を有する。ここでは、第1実施形態から第3実施形態と同一の構成要素については同一の符号を用い、それらについての重複する説明を省略する。
本実施形態のストレージ装置1は、第1実施形態と同様、不揮発性メモリ30上に、アクセス権限がSecurity CPU11に限定される区画を設定し、この区画にリカバリー用ファームウェアを格納する。つまり、本実施形態のストレージ装置1においては、高セキュリティ領域30Aが不揮発性メモリ30上に存在する。
また、本実施形態のストレージ装置1においては、通常動作用ファームウェアが、たとえば暗号鍵などの重要データを扱うことを想定する。重要データは、通常動作用ファームウェアと同様、不揮発性メモリ30の通常領域30Bに格納されている。また、その信頼性を検証するための情報がセキュリティ保証データ114としてSecurity CPU11内に格納されている。さらに、本実施形態のストレージ装置1においては、ホスト2からのコマンドによる指示やストレージ装置1の内部処理などによって、重要データが特定のタイミングで更新され得る。
この場合、通常動作用ファームウェアのリカバリー時、最新の重要データが失われると、再起動されたストレージ装置1は、正常な動作が行えなくなってしまう。そこで、本実施形態のストレージ装置1は、さらに、重要データ35を復旧するためのリカバリー用重要データ36を、不揮発性メモリ30上の高セキュリティ領域30Aに格納する。
本実施形態のストレージ装置1におけるリカバリー実行部113は、たとえば特定のタイミングでの重要データ35の更新時、更新された重要データ35を不揮発性メモリ30の通常領域30Bから読み出す(図7:d11)。なお、リカバリー実行部113によるリカバリー用重要データ36の高セキュリティ領域30Aへの格納は、重要データ35の更新時とは異なるタイミングで実行されてもよい。つまり、符号d11で示される、重要データ35の通常領域30Bからの読み出しは、特定のタイミングでの重要データ35の更新時に限定されない。
リカバリー実行部113は、Security CPU11内に格納されているセキュリティ保証データ114を用いて、通常領域30Bから読み出した重要データ35の信頼性を検証する(図7:d12)。この検証が成功した場合、リカバリー実行部113は、読み出した重要データ35の高セキュリティ領域30Aへの書き込みを実行する(図7:d13)。検証が失敗した場合には、リカバリー実行部113は、ホスト2へエラーを通知する。ホスト2へエラーを通知した場合、リカバリー実行部113は、ストレージ装置1を停止させるようにしてもよい。
また、通常動作用ファームウェアのリカバリー実行時、リカバリー実行部113は、リカバリー用重要データ36を不揮発性メモリ30の高セキュリティ領域30Aから読み出す(図7:d21)。なお、通常動作用ファームウェア自体のリカバリーの手順は、第1実施形態で説明した通りであるので、ここでは、その説明を省略する。
リカバリー実行部113は、読み出したリカバリー用重要データ36について、Security CPU11内に格納されているセキュリティ保証データ114を用いて、その信頼性を検証する(図7:d22)。そして、検証が成功した場合、リカバリー実行部113は、不揮発性メモリ30の通常領域30Bに格納されている重要データ35をリカバリー用重要データ36に書き換える。
本実施形態のストレージ装置1においては、通常動作用ファームウェアによって扱われる重要データが特定のタイミングで更新され、かつ、通常動作用ファームウェアのリカバリー時、最新の重要データが復旧されるので、異常動作が検知される前の状態から使い続けることが可能となり、可用性を向上させることができる。
また、本実施形態では、不揮発性メモリ30上に、アクセス権限がSecurity CPU11に限定される区画を設定し、この区画にリカバリー用ファームウェアと通常動作用ファームウェアが扱う重要データとを格納する例を説明した。第3実施形態において一変形例として説明した、NOR型フラッシュメモリなどの書き込みが可能な記憶素子にリカバリー用ファームウェアを格納し、かつ、リカバリー用ファームウェアの信頼性を検証するための検証データがeFuseによって記録される形態において、通常動作用ファームウェアが扱う重要データのバックアップをNOR型フラッシュメモリに格納するようにしてもよい。検証データは、更新が発生しないリカバリー用ファームウェア分のみFuseによって記録する。アクセス権限がSecurity CPU11に限定されるNOR型フラッシュメモリに重要データを格納するだけでも、重要データの信頼性は高いレベルで担保される。
この場合、NOR型フラッシュメモリの一部領域に、検証データがFuseによって記録される、更新が発生しないリカバリー用ファームウェアを格納し、NOR型フラッシュメモリの他の領域には、更新が発生する重要データを格納するという組み合わせを低コストで実現できる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
1…ストレージ装置、2…ホスト、10…コントローラ、11…Security CPU、12-1,12-2…一般的なCPU、20…揮発性メモリ、30…不揮発性メモリ、30A…高セキュリティ領域、30B…通常領域、31,32-1,32-2…通常動作用ファームウェア、33,34-1,34-2…リカバリー用ファームウェア、35…重要データ、36…リカバリー用重要データ、40…読み出し専用メモリ、111…検知部、112…リカバリー判定部、113…リカバリー実行部、114…セキュリティ保証データ。

Claims (10)

  1. 不揮発性メモリと、
    ホストからのコマンドに基づき、前記不揮発性メモリへのデータの書き込みおよび前記不揮発性メモリからのデータの読み出しを制御するコントローラと、
    を具備し、
    前記コントローラは、少なくとも1つのプロセッサを含み、
    前記不揮発性メモリは、前記コマンドに基づくデータの書き込みおよび読み出しの制御を前記少なくとも1つのプロセッサが行うための通常動作用ファームウェアと、前記通常動作用ファームウェアを復旧するためのリカバリー用ファームウェアとを格納し、
    前記通常動作用ファームウェアおよび前記リカバリー用ファームウェアが暗号化され、
    前記リカバリー用ファームウェアは、前記通常動作用ファームウェアよりも暗号強度の高いアルゴリズムまたは鍵長の大きな暗号鍵を用いて暗号化されて、前記不揮発性メモリに格納されている、
    ストレージ装置。
  2. 前記少なくとも1つのプロセッサは、前記通常動作用ファームウェアおよび前記リカバリー用ファームウェアの信頼性を検証する機能を有する第1プロセッサを含み、
    前記不揮発性メモリには、前記第1プロセッサのみがアクセス可能な第1領域が設定され、
    前記リカバリー用ファームウェアは、前記第1領域に格納されており、
    前記通常動作用ファームウェアは、前記不揮発性メモリの前記第1領域以外の第2領域に格納されている、
    請求項1に記載のストレージ装置。
  3. 前記リカバリー用ファームウェアによって前記通常動作用ファームウェアが復旧された場合において前記通常動作用ファームウェアによって使用されるべきデータが、前記第1領域に格納されている請求項に記載のストレージ装置。
  4. 前記リカバリー用ファームウェアは、正規の前記通常動作用ファームウェアを前記ホストから取得する処理と、前記不揮発性メモリの前記第2領域に格納されている前記通常動作用ファームウェアを、前記ホストから取得した正規の前記通常動作用ファームウェアに更新する処理と、を前記第1プロセッサに実行させるためのプログラムである請求項に記載のストレージ装置。
  5. 不揮発性メモリと、
    ホストからのコマンドに基づき、前記不揮発性メモリへのデータの書き込みおよび前記不揮発性メモリからのデータの読み出しを制御するコントローラと、
    を具備し、
    前記コントローラは、プロセッサを含み、
    前記不揮発性メモリは、前記コマンドに基づくデータの書き込みおよび読み出しの制御を前記プロセッサが行うための通常動作用ファームウェアと、前記通常動作用ファームウェアを復旧するためのリカバリー用ファームウェアとを格納し、
    前記コントローラは、前記通常動作用ファームウェアと前記リカバリー用ファームウェアの信頼性を検証する機能を有する第1プロセッサと、前記通常動作用ファームウェアを実行する第2プロセッサとを有し、前記第1プロセッサは前記不揮発性メモリの第1領域にはアクセス可能であるが、前記第2プロセッサは前記第1領域にはアクセスできず、かつ、前記リカバリー用ファームウェアは前記第1領域に格納され、前記通常動作用ファームウェアは前記不揮発性メモリの前記第1領域とは異なる第2領域に格納され、
    前記通常動作用ファームウェアおよび前記リカバリー用ファームウェアが暗号化され、
    前記リカバリー用ファームウェアは、前記通常動作用ファームウェアよりも暗号強度の高いアルゴリズムまたは鍵長の大きな暗号鍵を用いて暗号化されて前記不揮発性メモリに格納されている、
    ストレージ装置。
  6. 前記リカバリー用ファームウェアによって前記通常動作用ファームウェアが復旧された場合において前記通常動作用ファームウェアによって使用されるべきデータが、前記第1領域に格納されている請求項に記載のストレージ装置。
  7. 前記リカバリー用ファームウェアは、正規の前記通常動作用ファームウェアを前記ホストから取得する処理と、前記不揮発性メモリの前記第2領域に格納されている前記通常動作用ファームウェアを、前記ホストから取得した正規の前記通常動作用ファームウェアに更新する処理と、を前記第1プロセッサに実行させるためのプログラムである請求項に記載のストレージ装置。
  8. 第1不揮発性メモリと、
    プログラムを含むデータを前記第1不揮発性メモリよりも高い信頼性が担保された状態で格納するための第2不揮発性メモリと、
    ホストからのコマンドに基づき、前記第1不揮発性メモリへのデータの書き込みおよび前記第1不揮発性メモリからのデータの読み出しを制御するコントローラと、
    を具備し、
    前記コントローラは、プロセッサを含み、
    前記コマンドに基づくデータの書き込みおよび読み出しの制御を前記プロセッサが行うための通常動作用ファームウェアが、前記第1不揮発性メモリに格納されており、
    前記通常動作用ファームウェアを復旧するためのリカバリー用ファームウェアが、前記第2不揮発性メモリに格納され、
    前記コントローラは、前記通常動作用ファームウェアと前記リカバリー用ファームウェアの信頼性を検証する機能を有する第1プロセッサと、前記通常動作用ファームウェアを実行する第2プロセッサとを有し、前記第1プロセッサは前記第2不揮発性メモリにはアクセス可能であるが、前記第2プロセッサは前記第2不揮発性メモリにはアクセスできず、かつ、前記リカバリー用ファームウェアは前記第2不揮発性メモリに格納され、前記通常動作用ファームウェアは前記第1不揮発性メモリに格納され、
    前記通常動作用ファームウェアおよび前記リカバリー用ファームウェアが暗号化され、
    前記リカバリー用ファームウェアは、前記通常動作用ファームウェアよりも暗号強度の高いアルゴリズムまたは鍵長の大きな暗号鍵を用いて暗号化されて前記第2不揮発性メモリに格納されている、
    ストレージ装置。
  9. 前記リカバリー用ファームウェアによって前記通常動作用ファームウェアが復旧された場合において前記通常動作用ファームウェアによって使用されるべきデータが、前記第1不揮発性メモリに格納されている請求項に記載のストレージ装置。
  10. 前記リカバリー用ファームウェアは、正規の前記通常動作用ファームウェアを前記ホストから取得する処理と、前記第2不揮発性メモリに格納されている前記通常動作用ファームウェアを、前記ホストから取得した正規の前記通常動作用ファームウェアに更新する処理と、を前記第1プロセッサに実行させるためのプログラムである請求項に記載のストレージ装置。
JP2019147505A 2019-08-09 2019-08-09 ストレージ装置 Active JP7341784B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2019147505A JP7341784B2 (ja) 2019-08-09 2019-08-09 ストレージ装置
TW108147170A TWI736075B (zh) 2019-08-09 2019-12-23 儲存裝置
CN202010062994.5A CN112347518A (zh) 2019-08-09 2020-01-20 储存装置
US16/804,053 US11455115B2 (en) 2019-08-09 2020-02-28 Storage device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019147505A JP7341784B2 (ja) 2019-08-09 2019-08-09 ストレージ装置

Publications (2)

Publication Number Publication Date
JP2021028763A JP2021028763A (ja) 2021-02-25
JP7341784B2 true JP7341784B2 (ja) 2023-09-11

Family

ID=74357159

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019147505A Active JP7341784B2 (ja) 2019-08-09 2019-08-09 ストレージ装置

Country Status (4)

Country Link
US (1) US11455115B2 (ja)
JP (1) JP7341784B2 (ja)
CN (1) CN112347518A (ja)
TW (1) TWI736075B (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111966970B (zh) * 2020-07-31 2021-05-07 深圳比特微电子科技有限公司 防止数字货币矿机固件回退的方法、装置和数字货币矿机
US11797679B2 (en) * 2021-07-28 2023-10-24 Dell Products, L.P. Trust verification system and method for a baseboard management controller (BMC)
KR20230068824A (ko) 2021-11-11 2023-05-18 삼성전자주식회사 스토리지 장치, 이에 대한 동작 방법 및 메모리 시스템
JP2023088703A (ja) * 2021-12-15 2023-06-27 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
TWI817502B (zh) * 2022-05-13 2023-10-01 宇瞻科技股份有限公司 固態硬碟系統

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015036847A (ja) 2013-08-12 2015-02-23 株式会社東芝 半導体装置
JP2016118879A (ja) 2014-12-19 2016-06-30 株式会社デンソー マイクロコンピュータ
US20190073478A1 (en) 2017-09-01 2019-03-07 Microsoft Technology Licensing, Llc Hardware-enforced firmware security

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09330272A (ja) * 1996-06-12 1997-12-22 Hitachi Ltd Bios制御方式
US6934873B2 (en) * 2002-02-28 2005-08-23 Dell Products L.P. Automatic BIOS recovery in a multi-node computer system
US20080186753A1 (en) * 2007-02-05 2008-08-07 Broadcom Corporation High density one time programmable memory
US8490189B2 (en) 2009-09-25 2013-07-16 Intel Corporation Using chipset-based protected firmware for host software tamper detection and protection
JP5624510B2 (ja) * 2011-04-08 2014-11-12 株式会社東芝 記憶装置、記憶システム及び認証方法
US10803970B2 (en) * 2011-11-14 2020-10-13 Seagate Technology Llc Solid-state disk manufacturing self test
EP2704053B1 (en) * 2012-08-27 2016-09-21 Giesecke & Devrient GmbH Method and system for updating a firmware of a security module
CN103810430B (zh) * 2012-11-13 2018-02-27 联想(北京)有限公司 一种控制电子设备的方法及电子设备
US9317548B2 (en) * 2013-01-30 2016-04-19 International Business Machines Corporation Reducing collisions within a hash table
US9092398B2 (en) * 2013-02-14 2015-07-28 Avago Technologies General Ip (Singapore) Pte Ltd Restoring expander operations in a data storage switch
US9858208B2 (en) * 2013-03-21 2018-01-02 International Business Machines Corporation System for securing contents of removable memory
EP2854066B1 (en) * 2013-08-21 2018-02-28 Nxp B.V. System and method for firmware integrity verification using multiple keys and OTP memory
JP6244759B2 (ja) 2013-09-10 2017-12-13 株式会社ソシオネクスト セキュアブート方法、半導体装置、及び、セキュアブートプログラム
WO2016010604A2 (en) * 2014-04-28 2016-01-21 Topia Technology, Inc. Systems and methods for security hardening of data in transit and at rest via segmentation, shuffling and multi-key encryption
CN104573529B (zh) * 2015-01-28 2018-04-17 加弘科技咨询(上海)有限公司 一种bios固件的划分、更新方法和系统
KR102385552B1 (ko) * 2015-12-29 2022-04-12 삼성전자주식회사 시스템-온-칩 및 이를 포함하는 전자 장치
US10740468B2 (en) * 2016-09-30 2020-08-11 Hewlett Packard Enterprise Development Lp Multiple roots of trust to verify integrity
US10621351B2 (en) 2016-11-01 2020-04-14 Raptor Engineering, LLC. Systems and methods for tamper-resistant verification of firmware with a trusted platform module

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015036847A (ja) 2013-08-12 2015-02-23 株式会社東芝 半導体装置
JP2016118879A (ja) 2014-12-19 2016-06-30 株式会社デンソー マイクロコンピュータ
US20190073478A1 (en) 2017-09-01 2019-03-07 Microsoft Technology Licensing, Llc Hardware-enforced firmware security

Also Published As

Publication number Publication date
TW202107277A (zh) 2021-02-16
TWI736075B (zh) 2021-08-11
CN112347518A (zh) 2021-02-09
US11455115B2 (en) 2022-09-27
US20210042035A1 (en) 2021-02-11
JP2021028763A (ja) 2021-02-25

Similar Documents

Publication Publication Date Title
JP7341784B2 (ja) ストレージ装置
US7461268B2 (en) E-fuses for storing security version data
JP6373888B2 (ja) 情報処理装置及び制御方法
US8438377B2 (en) Information processing apparatus, method and computer-readable storage medium that encrypts and decrypts data using a value calculated from operating-state data
US20210397441A1 (en) Firmware updating system and method
US20100088525A1 (en) External encryption and recovery management with hardware encrypted storage devices
KR102567097B1 (ko) 임베디드 시스템의 부트 롬 업데이트 방법 및 부팅 방법
CN109445705B (zh) 固件认证方法及固态硬盘
TWI775346B (zh) 防止回滾攻擊之系統及方法
CN113505363B (zh) 通过软件方式实现存储空间防重放的方法和系统
JP2005332221A (ja) 記憶装置
JP6622360B2 (ja) 情報処理装置
JP7249968B2 (ja) 情報処理装置およびストレージ
RU2580014C2 (ru) Система и способ изменения маски зашифрованной области при возникновении сбоя в компьютерной системе
JP2000250818A (ja) 記憶システム、記憶装置及び記憶データ保護方法
JP2020149236A (ja) 電子機器及び電子機器の制御方法
TWI824602B (zh) 電子裝置及其控制方法
JP7341376B2 (ja) 情報処理装置、情報処理方法、及び、情報処理プログラム
JP7320126B2 (ja) 車両制御装置及び車両制御システム
US20230129942A1 (en) Method for locking a rewritable non-volatile memory and electronic device implementing said method
KR102545102B1 (ko) 차량용 제어기 및 그 업데이트 방법
JP7413300B2 (ja) 記憶装置
WO2021015204A1 (ja) アクセス制御装置、アクセス制御方法及びプログラム
CN113742784A (zh) 应用加速验证映像文件方法的系统
CN115221527A (zh) 电子装置及其控制方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230719

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230801

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230830

R151 Written notification of patent or utility model registration

Ref document number: 7341784

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151